Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Verschlüsselung im Ruhezustand in Amazon Keyspaces
[Die *Verschlüsselung im Ruhezustand* von Amazon Keyspaces (für Apache Cassandra) bietet erhöhte Sicherheit, indem alle Ihre Daten im Ruhezustand mit Verschlüsselungsschlüsseln verschlüsselt werden, die in AWS Key Management Service () gespeichert sind.AWS KMS](https://aws.amazon.com/kms/) Diese Funktionalität trägt zur Verringerung des Betriebsaufwands und der Komplexität bei, die mit dem Schutz sensibler Daten einhergeht. Mit Encryption at Rest können Sie sicherheitsrelevante Anwendungen entwickeln, die strenge Compliance- und behördliche Anforderungen an den Datenschutz erfüllen.
Amazon Keyspaces Encryption at Rest verschlüsselt Ihre Daten mit dem 256-Bit-Advanced Encryption Standard (AES-256). Dies trägt dazu bei, Ihre Daten vor unbefugtem Zugriff auf den zugrunde liegenden Speicher zu schützen.
Amazon Keyspaces verschlüsselt und entschlüsselt die Daten in Tabellen und Streams transparent. Amazon Keyspaces verwendet Umschlagverschlüsselung und eine Schlüsselhierarchie, um Datenverschlüsselungsschlüssel zu schützen. Es lässt sich AWS KMS zum Speichern und Verwalten des Root-Verschlüsselungsschlüssels integrieren. Weitere Informationen zur Hierarchie der Verschlüsselungsschlüssel finden Sie unter[Verschlüsselung im Ruhezustand: So funktioniert sie in Amazon Keyspaces](encryption.howitworks.md). Weitere Informationen zu AWS KMS Konzepten wie der Envelope-Verschlüsselung finden Sie unter [AWS KMS Management Service Concepts](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html) im *AWS Key Management Service Developer Guide*.
Wenn Sie eine neue Tabelle erstellen, können Sie einen der folgenden *AWS KMS Schlüssel (KMS-Schlüssel)* wählen:
+ AWS-eigener Schlüssel — Dies ist der Standardverschlüsselungstyp. Der Schlüssel gehört Amazon Keyspaces (ohne zusätzliche Kosten).
+ Vom Kunden verwalteter Schlüssel — Dieser Schlüssel wird in Ihrem Konto gespeichert und wird von Ihnen erstellt, gehört und verwaltet. Sie haben die volle Kontrolle über den vom Kunden verwalteten Schlüssel (es AWS KMS fallen Gebühren an).
Amazon Keyspaces verschlüsselt automatisch Change Data Capture (CDC) -Streams mit demselben Schlüssel wie die zugrunde liegende Tabelle. Weitere Informationen zu CDC finden Sie unter. [Arbeiten mit Change Data Capture (CDC) -Streams in Amazon Keyspaces](cdc.md)
Sie können jederzeit zwischen dem AWS-eigener Schlüssel und dem vom Kunden verwalteten Schlüssel wechseln. Sie können einen vom Kunden verwalteten Schlüssel angeben, wenn Sie eine neue Tabelle erstellen oder den KMS-Schlüssel einer vorhandenen Tabelle mithilfe der Konsole oder programmgesteuert mithilfe von CQL-Anweisungen ändern. Um zu erfahren wie dies geht, vgl. [Verschlüsselung in Ruhe: So verwenden Sie kundenseitig verwaltete Schlüssel zum Verschlüsseln von Tabellen in Amazon Keyspaces](encryption.customermanaged.md).
Die Verschlüsselung im Ruhezustand mit der Standardoption von AWS-eigene Schlüssel wird ohne zusätzliche Kosten angeboten. Für vom Kunden verwaltete Schlüssel fallen jedoch AWS KMS Gebühren an. Weitere Informationen zu Preisen finden Sie unter [AWS KMS Preise](https://aws.amazon.com/kms/pricing).
Die Amazon Keyspaces-Verschlüsselung im Ruhezustand ist in allen Regionen verfügbar AWS-Regionen, auch in den AWS Regionen China (Peking) und AWS China (Ningxia). Weitere Informationen finden Sie unter [Verschlüsselung im Ruhezustand: So funktioniert sie in Amazon Keyspaces](encryption.howitworks.md).
**Topics**
+ [Verschlüsselung im Ruhezustand: So funktioniert sie in Amazon Keyspaces](encryption.howitworks.md)
+ [Verschlüsselung in Ruhe: So verwenden Sie kundenseitig verwaltete Schlüssel zum Verschlüsseln von Tabellen in Amazon Keyspaces](encryption.customermanaged.md)
# Verschlüsselung im Ruhezustand: So funktioniert sie in Amazon Keyspaces
Die *Verschlüsselung im Ruhezustand* von Amazon Keyspaces (für Apache Cassandra) verschlüsselt Ihre Daten mit dem 256-Bit-Advanced Encryption Standard (AES-256). Dies trägt dazu bei, Ihre Daten vor unbefugtem Zugriff auf den zugrunde liegenden Speicher zu schützen. Alle Kundendaten in Amazon Keyspaces-Tabellen werden standardmäßig im Ruhezustand verschlüsselt, und die serverseitige Verschlüsselung ist transparent, sodass keine Änderungen an Anwendungen erforderlich sind.
Encryption at Rest ist in AWS Key Management Service (AWS KMS) integriert, um den Verschlüsselungsschlüssel zu verwalten, der zur Verschlüsselung Ihrer Tabellen verwendet wird. Wenn Sie eine neue Tabelle erstellen oder eine bestehende Tabelle aktualisieren, können Sie eine der folgenden *AWS KMS Schlüsseloptionen* wählen:
+ AWS-eigener Schlüssel — Dies ist der Standardverschlüsselungstyp. Der Schlüssel gehört Amazon Keyspaces (ohne zusätzliche Kosten).
+ Vom Kunden verwalteter Schlüssel — Dieser Schlüssel wird in Ihrem Konto gespeichert und wird von Ihnen erstellt, gehört und verwaltet. Sie haben die volle Kontrolle über den vom Kunden verwalteten Schlüssel (es AWS KMS fallen Gebühren an).
**AWS KMS Schlüssel (KMS-Schlüssel)**
Die Verschlüsselung im Ruhezustand schützt all Ihre Amazon Keyspaces-Daten mit einem AWS KMS Schlüssel. Standardmäßig verwendet Amazon Keyspaces einen Mehrmandanten-Verschlüsselungsschlüssel [AWS-eigener Schlüssel](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk), der in einem Amazon Keyspaces-Servicekonto erstellt und verwaltet wird.
Sie können Ihre Amazon Keyspaces-Tabellen jedoch mit einem vom [Kunden verwalteten Schlüssel](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) in Ihrem verschlüsseln. AWS-Konto Sie können für jede Tabelle in einem Schlüsselraum einen anderen KMS-Schlüssel auswählen. Der KMS-Schlüssel, den Sie für eine Tabelle auswählen, wird auch zum Verschlüsseln aller Metadaten und wiederherstellbaren Backups verwendet.
Sie wählen den KMS-Schlüssel für eine Tabelle aus, wenn Sie die Tabelle erstellen oder aktualisieren. Sie können den KMS-Schlüssel für eine Tabelle jederzeit ändern, entweder in der Amazon Keyspaces-Konsole oder mithilfe der [ALTER TABLE-Anweisung](cql.ddl.keyspace.md#cql.ddl.keyspace.alter). Der Wechsel der KMS-Schlüssel erfolgt nahtlos und erfordert keine Ausfallzeiten und führt auch nicht zu einer Beeinträchtigung des Services.
**Schlüsselhierarchie**
Amazon Keyspaces verwendet eine Schlüsselhierarchie zur Verschlüsselung von Daten. In dieser Schlüsselhierarchie ist der KMS-Schlüssel der Stammschlüssel. Es wird verwendet, um den Amazon Keyspaces-Tabellenverschlüsselungsschlüssel zu verschlüsseln und zu entschlüsseln. Der Tabellenverschlüsselungsschlüssel wird verwendet, um die Verschlüsselungsschlüssel zu verschlüsseln, die intern von Amazon Keyspaces verwendet werden, um Daten bei Lese- und Schreibvorgängen zu verschlüsseln und zu entschlüsseln.
Mit der Hierarchie der Verschlüsselungsschlüssel können Sie Änderungen am KMS-Schlüssel vornehmen, ohne Daten erneut verschlüsseln zu müssen oder Anwendungen und laufende Datenoperationen zu beeinträchtigen.
![\[Die Schlüsselhierarchie zeigt den Stammschlüssel, den Tabellenverschlüsselungsschlüssel und den Datenverschlüsselungsschlüssel, der für die Verschlüsselung im Ruhezustand verwendet wird.\]](http://docs.aws.amazon.com/de_de/keyspaces/latest/devguide/images/keyspaces_encryption.png)
**Tabellenschlüssel**
Der Amazon Keyspaces-Tabellenschlüssel wird als Schlüsselverschlüsselungsschlüssel verwendet. Amazon Keyspaces verwendet den Tabellenschlüssel, um die internen Datenverschlüsselungsschlüssel zu schützen, die zur Verschlüsselung der in Tabellen, Protokolldateien und wiederherstellbaren Backups gespeicherten Daten verwendet werden. Amazon Keyspaces generiert einen eindeutigen Datenverschlüsselungsschlüssel für jede zugrunde liegende Struktur in einer Tabelle. Es kann jedoch sein, dass mehrere Tabellenzeilen durch denselben Datenverschlüsselungsschlüssel geschützt werden.
Wenn Sie den KMS-Schlüssel zum ersten Mal auf einen vom Kunden verwalteten Schlüssel festlegen, AWS KMS wird ein *Datenschlüssel* generiert. Der AWS KMS Datenschlüssel bezieht sich auf den Tabellenschlüssel in Amazon Keyspaces.
Wenn Sie auf eine verschlüsselte Tabelle zugreifen, sendet Amazon Keyspaces eine Anfrage an, den KMS-Schlüssel AWS KMS zur Entschlüsselung des Tabellenschlüssels zu verwenden. Anschließend verwendet es den Klartext-Tabellenschlüssel, um die Amazon Keyspaces-Datenverschlüsselungsschlüssel zu entschlüsseln, und es verwendet die Klartext-Datenverschlüsselungsschlüssel, um Tabellendaten zu entschlüsseln.
Amazon Keyspaces verwendet und speichert den Tabellenschlüssel und die Datenverschlüsselungsschlüssel außerhalb von AWS KMS. Alle Schlüssel werden mit [Advanced Encryption Standard](https://en.wikipedia.org/wiki/Advanced_Encryption_Standard) (AES)-Verschlüsselung und 256-Bit-Verschlüsselungsschlüsseln geschützt. Anschließend werden die verschlüsselten Schlüssel zusammen mit den verschlüsselten Daten gespeichert, sodass sie bei Bedarf zur Entschlüsselung der Tabellendaten zur Verfügung stehen.
**Tabellenschlüssel-Caching**
Um zu vermeiden, AWS KMS dass jeder Amazon Keyspaces-Vorgang aufgerufen wird, speichert Amazon Keyspaces die Klartext-Tabellenschlüssel für jede Verbindung im Speicher zwischen. Wenn Amazon Keyspaces nach fünf Minuten Inaktivität eine Anfrage für den zwischengespeicherten Tabellenschlüssel erhält, sendet es eine neue Anfrage an, um den Tabellenschlüssel AWS KMS zu entschlüsseln. Dieser Aufruf erfasst alle Änderungen, die seit der letzten Anfrage zur Entschlüsselung des Tabellenschlüssels an den Zugriffsrichtlinien des KMS-Schlüssels in AWS KMS oder AWS Identity and Access Management (IAM) vorgenommen wurden.
**Umschlagverschlüsselung**
Wenn Sie den vom Kunden verwalteten Schlüssel für Ihre Tabelle ändern, generiert Amazon Keyspaces einen neuen Tabellenschlüssel. Anschließend verwendet es den neuen Tabellenschlüssel, um die Datenverschlüsselungsschlüssel erneut zu verschlüsseln. Außerdem wird der neue Tabellenschlüssel verwendet, um frühere Tabellenschlüssel zu verschlüsseln, die zum Schutz wiederherstellbarer Backups verwendet werden. Dieser Vorgang wird als Envelope-Verschlüsselung bezeichnet. Dadurch wird sichergestellt, dass Sie auch dann auf wiederherstellbare Backups zugreifen können, wenn Sie den vom Kunden verwalteten Schlüssel rotieren. Weitere Informationen zur Envelope-Verschlüsselung finden Sie unter [Envelope Encryption](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#enveloping) im *AWS Key Management Service Entwicklerhandbuch*.
**Topics**
+ [AWS eigene Schlüssel](#keyspaces-owned)
+ [Kundenverwaltete Schlüssel](#customer-managed)
+ [Verwendungshinweise zur Verschlüsselung im Ruhezustand](#encryption.usagenotes)
## AWS eigene Schlüssel
AWS-eigene Schlüssel sind nicht in Ihrem AWS-Konto gespeichert. Sie sind Teil einer Sammlung von KMS-Schlüsseln, die mehrere AWS besitzen und verwalten, sodass sie in mehreren Fällen verwendet AWS-Konten werden können. AWS Dienste, die Sie AWS-eigene Schlüssel zum Schutz Ihrer Daten verwenden können.
Sie können ihre Verwendung nicht einsehen, verwalten AWS-eigene Schlüssel, verwenden oder überprüfen. Sie müssen jedoch keine Arbeit verrichten oder Programme ändern, um die Schlüssel zu schützen, mit denen Ihre Daten verschlüsselt werden.
Ihnen wird weder eine monatliche Gebühr noch eine Nutzungsgebühr für die Nutzung von berechnet AWS-eigene Schlüssel, und sie werden auch nicht auf die AWS KMS Kontingente für Ihr Konto angerechnet.
## Kundenverwaltete Schlüssel
Kundenverwaltete Schlüssel sind Schlüssel in Ihrem System AWS-Konto , die Sie erstellen, besitzen und verwalten. Sie haben die volle Kontrolle über diese KMS-Schlüssel.
Verwenden Sie einen kundenverwalteten KMS-Schlüssel, um die folgenden Funktionen zu erhalten:
+ Sie erstellen und verwalten den vom Kunden verwalteten Schlüssel, einschließlich der Festlegung und Verwaltung der [wichtigsten Richtlinien](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html), [IAM-Richtlinien](https://docs.aws.amazon.com/kms/latest/developerguide/iam-policies.html) und [Zuweisungen](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) zur Steuerung des Zugriffs auf den vom Kunden verwalteten Schlüssel. Sie können den vom Kunden verwalteten Schlüssel [aktivieren und deaktivieren](https://docs.aws.amazon.com/kms/latest/developerguide/enabling-keys.html), die [automatische Schlüsselrotation](https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html) aktivieren und deaktivieren und [den vom Kunden verwalteten Schlüssel so planen](https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys.html), dass er gelöscht wird, wenn er nicht mehr verwendet wird. Sie können Tags und Aliase für die von Ihnen verwalteten, vom Kunden verwalteten Schlüssel erstellen.
+ Sie können einen kundenverwalteten Schlüssel mit [importiertem Schlüsselmaterial](https://docs.aws.amazon.com/kms/latest/developerguide/importing-keys.html) oder einen kundenverwalteten Schlüssel in einem [benutzerdefinierten Schlüsselspeicher](https://docs.aws.amazon.com/kms/latest/developerguide/custom-key-store-overview.html) verwenden, den Sie besitzen und verwalten.
+ Sie können Amazon AWS CloudTrail CloudWatch Logs verwenden, um die Anfragen zu verfolgen, an die Amazon Keyspaces in AWS KMS Ihrem Namen sendet. Weitere Informationen finden Sie unter [Schritt 6: Konfigurieren Sie die Überwachung mit AWS CloudTrail](encryption.customermanaged.md#encryption-cmk-trail).
Für vom Kunden verwaltete Schlüssel [fällt für jeden API-Aufruf eine Gebühr](https://aws.amazon.com/kms/pricing/) an, und für diese KMS-Schlüssel gelten AWS KMS Kontingente. Weitere Informationen finden Sie unter [AWS KMS Ressourcen- oder Anforderungskontingente](https://docs.aws.amazon.com/kms/latest/developerguide/limits.html).
Wenn Sie einen vom Kunden verwalteten Schlüssel als Stammverschlüsselungsschlüssel für eine Tabelle angeben, werden wiederherstellbare Backups mit demselben Verschlüsselungsschlüssel verschlüsselt, der bei der Erstellung des Backups für die Tabelle angegeben wurde. Wenn der KMS-Schlüssel für die Tabelle rotiert wird, stellt die Schlüsselumhüllung sicher, dass der neueste KMS-Schlüssel Zugriff auf alle wiederherstellbaren Backups hat.
Amazon Keyspaces muss Zugriff auf Ihren vom Kunden verwalteten Schlüssel haben, um Ihnen Zugriff auf Ihre Tabellendaten zu gewähren. Wenn der Status des Verschlüsselungsschlüssels auf „Deaktiviert“ gesetzt ist oder sein Löschen geplant ist, kann Amazon Keyspaces keine Daten ver- oder entschlüsseln. Daher können Sie keine Lese- und Schreibvorgänge für die Tabelle ausführen. Sobald der Service feststellt, dass auf Ihren Verschlüsselungsschlüssel nicht zugegriffen werden kann, sendet Amazon Keyspaces eine E-Mail-Benachrichtigung, um Sie zu benachrichtigen.
Sie müssen den Zugriff auf Ihren Verschlüsselungsschlüssel innerhalb von sieben Tagen wiederherstellen. Andernfalls löscht Amazon Keyspaces Ihre Tabelle automatisch. Als Vorsichtsmaßnahme erstellt Amazon Keyspaces vor dem Löschen der Tabelle eine wiederherstellbare Sicherungskopie Ihrer Tabellendaten. Amazon Keyspaces bewahrt das wiederherstellbare Backup 35 Tage lang auf. Nach 35 Tagen können Sie Ihre Tabellendaten nicht mehr wiederherstellen. Das wiederherstellbare Backup wird Ihnen nicht in Rechnung gestellt, es fallen jedoch die üblichen [Wiederherstellungsgebühren](https://aws.amazon.com/keyspaces/pricing) an.
Sie können dieses wiederherstellbare Backup verwenden, um Ihre Daten in einer neuen Tabelle wiederherzustellen. Um die Wiederherstellung einzuleiten, muss der letzte vom Kunden verwaltete Schlüssel, der für die Tabelle verwendet wurde, aktiviert sein und Amazon Keyspaces muss Zugriff darauf haben.
**Anmerkung**
Wenn Sie eine Tabelle erstellen, die mit einem vom Kunden verwalteten Schlüssel verschlüsselt wurde, auf den nicht zugegriffen werden kann oder der vor Abschluss des Erstellungsvorgangs gelöscht werden soll, tritt ein Fehler auf. Der Vorgang zum Erstellen einer Tabelle schlägt fehl und Sie erhalten eine E-Mail-Benachrichtigung.
## Verwendungshinweise zur Verschlüsselung im Ruhezustand
Beachten Sie Folgendes, wenn Sie Verschlüsselung im Ruhezustand in Amazon Keyspaces verwenden.
+ Die serverseitige Verschlüsselung im Ruhezustand ist für alle Amazon Keyspaces-Tabellen aktiviert und kann nicht deaktiviert werden. Die gesamte Tabelle ist im Ruhezustand verschlüsselt. Sie können keine bestimmten Spalten oder Zeilen für die Verschlüsselung auswählen.
+ Standardmäßig verwendet Amazon Keyspaces einen einzigen Service-Standardschlüssel (AWS-eigener Schlüssel) für die Verschlüsselung all Ihrer Tabellen. Wenn dieser Schlüssel nicht existiert, wird er für Sie erstellt. Die Standardschlüssel des Dienstes können nicht deaktiviert werden.
+ Bei der Verschlüsselung im Ruhezustand werden nur Daten verschlüsselt, solange sie sich auf einem persistenten Speichermedium befinden (im Ruhezustand). Wenn die Datensicherheit bei der Übertragung oder bei der Verwendung von Daten ein Problem darstellt, müssen Sie zusätzliche Maßnahmen ergreifen:
+ Daten während der Übertragung: Alle Ihre Daten in Amazon Keyspaces werden während der Übertragung verschlüsselt. Standardmäßig wird die Kommunikation zu und von Amazon Keyspaces durch Secure Sockets Layer (SSL) /Transport Layer Security (TLS) -Verschlüsselung geschützt.
+ Verwendete Daten: Schützen Sie Ihre Daten, bevor Sie sie an Amazon Keyspaces senden, indem Sie clientseitige Verschlüsselung verwenden.
+ Vom Kunden verwaltete Schlüssel: Daten, die sich in Ihren Tabellen befinden, werden immer mit Ihren vom Kunden verwalteten Schlüsseln verschlüsselt. Bei Operationen, die atomare Aktualisierungen mehrerer Zeilen durchführen, werden Daten jedoch vorübergehend AWS-eigene Schlüssel während der Verarbeitung verschlüsselt. Dazu gehören Operationen zum Löschen von Bereichen und Operationen, die gleichzeitig auf statische und nicht statische Daten zugreifen.
+ Für einen einzelnen vom Kunden verwalteten Schlüssel können bis zu 50.000 [Zuschüsse gewährt](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) werden. Jede Amazon Keyspaces-Tabelle, die einem vom Kunden verwalteten Schlüssel zugeordnet ist, verbraucht 2 Grants. Ein Grant wird freigegeben, wenn die Tabelle gelöscht wird. Der zweite Zuschuss wird verwendet, um einen automatischen Snapshot der Tabelle zu erstellen, um vor Datenverlust zu schützen, falls Amazon Keyspaces versehentlich den Zugriff auf den vom Kunden verwalteten Schlüssel verliert. Dieser Zuschuss wird 42 Tage nach dem Löschen der Tabelle freigegeben.
# Verschlüsselung in Ruhe: So verwenden Sie kundenseitig verwaltete Schlüssel zum Verschlüsseln von Tabellen in Amazon Keyspaces
Sie können die Konsolen- oder CQL-Anweisungen verwenden, um die AWS KMS key für neue Tabellen anzugeben und die Verschlüsselungsschlüssel vorhandener Tabellen in Amazon Keyspaces zu aktualisieren. Im folgenden Thema wird beschrieben, wie vom Kunden verwaltete Schlüssel für neue und bestehende Tabellen implementiert werden.
**Topics**
+ [Voraussetzungen: Erstellen Sie einen vom Kunden verwalteten Schlüssel mithilfe von Amazon Keyspaces AWS KMS und gewähren Sie ihm Berechtigungen](#encryption.createCMKMS)
+ [Schritt 3: Geben Sie einen vom Kunden verwalteten Schlüssel für eine neue Tabelle an](#encryption.tutorial-creating)
+ [Schritt 4: Aktualisieren Sie den Verschlüsselungsschlüssel einer vorhandenen Tabelle](#encryption.tutorial-update)
+ [Schritt 5: Verwenden Sie den Amazon Keyspaces-Verschlüsselungskontext in Protokollen](#encryption-context)
+ [Schritt 6: Konfigurieren Sie die Überwachung mit AWS CloudTrail](#encryption-cmk-trail)
## Voraussetzungen: Erstellen Sie einen vom Kunden verwalteten Schlüssel mithilfe von Amazon Keyspaces AWS KMS und gewähren Sie ihm Berechtigungen
Bevor Sie eine Amazon Keyspaces-Tabelle mit einem vom [Kunden verwalteten Schlüssel](encryption.howitworks.md#customer-managed) schützen können, müssen Sie zuerst den Schlüssel in AWS Key Management Service (AWS KMS) erstellen und dann Amazon Keyspaces autorisieren, diesen Schlüssel zu verwenden.
### Schritt 1: Erstellen Sie einen vom Kunden verwalteten Schlüssel mit AWS KMS
Um einen vom Kunden verwalteten Schlüssel zu erstellen, der zum Schutz einer Amazon Keyspaces-Tabelle verwendet werden soll, können Sie die Schritte unter [KMS-Schlüssel mit symmetrischer Verschlüsselung mithilfe der Konsole oder der AWS API erstellen](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html#create-symmetric-cmk) befolgen.
### Schritt 2: Autorisieren Sie die Verwendung Ihres vom Kunden verwalteten Schlüssels
Bevor Sie einen vom [Kunden verwalteten Schlüssel](encryption.howitworks.md#customer-managed) zum Schutz einer Amazon Keyspaces-Tabelle auswählen können, müssen die Richtlinien für diesen vom Kunden verwalteten Schlüssel Amazon Keyspaces die Erlaubnis geben, ihn in Ihrem Namen zu verwenden. Sie haben die volle Kontrolle über die Richtlinien und Zuschüsse für den vom Kunden verwalteten Schlüssel. Sie können diese Berechtigungen in einer [Schlüsselrichtlinie](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html), einer [IAM-Richtlinie](https://docs.aws.amazon.com/kms/latest/developerguide/iam-policies.html) oder einer [Erteilung](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) bereitstellen.
Amazon Keyspaces benötigt keine zusätzliche Autorisierung, um den Standard [AWS-eigener Schlüssel](encryption.howitworks.md#keyspaces-owned)zum Schutz der Amazon Keyspaces-Tabellen in Ihrem AWS Konto zu verwenden.
Die folgenden Themen zeigen, wie Sie die erforderlichen Berechtigungen mithilfe von IAM-Richtlinien und -Zuschüssen konfigurieren, die es Amazon Keyspaces-Tabellen ermöglichen, einen vom Kunden verwalteten Schlüssel zu verwenden.
**Topics**
+ [Wichtige Richtlinie für vom Kunden verwaltete Schlüssel](#encryption-customer-managed-policy)
+ [Beispiel für eine Schlüsselrichtlinie](#encryption-customer-managed-policy-sample)
+ [Verwendung von Zuschüssen zur Autorisierung von Amazon Keyspaces](#encryption-grants)
#### Wichtige Richtlinie für vom Kunden verwaltete Schlüssel
Wenn Sie einen vom [Kunden verwalteten Schlüssel](encryption.howitworks.md#customer-managed) zum Schutz einer Amazon Keyspaces-Tabelle auswählen, erhält Amazon Keyspaces die Erlaubnis, den vom Kunden verwalteten Schlüssel im Namen des Prinzipals zu verwenden, der die Auswahl trifft. Dieser Principal, ein Benutzer oder eine Rolle, muss über die Berechtigungen für den vom Kunden verwalteten Schlüssel verfügen, die Amazon Keyspaces benötigt.
Amazon Keyspaces benötigt mindestens die folgenden Berechtigungen für einen vom Kunden verwalteten Schlüssel:
+ [kms:Encrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html)
+ [kms:Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html)
+ [kms: ReEncrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReEncrypt.html) \$1 (für kms: ReEncryptFrom und kms:ReEncryptTo)
+ kms: GenerateDataKey \$1 (für [kms: GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html) und [kms: GenerateDataKeyWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html))
+ [km: DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)
+ [km: CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)
#### Beispiel für eine Schlüsselrichtlinie
Beispielsweise bietet die folgende Beispiel-Schlüsselrichtlinie nur die erforderlichen Berechtigungen. Die Richtlinie hat folgende Auswirkungen:
+ Erlaubt Amazon Keyspaces, den vom Kunden verwalteten Schlüssel für kryptografische Operationen zu verwenden und Zuschüsse zu gewähren — aber nur, wenn Amazon Keyspaces im Namen von Prinzipalen des Kontos handelt, die die Erlaubnis haben, Amazon Keyspaces zu verwenden. Wenn die in der Datenschutzerklärung angegebenen Principals nicht berechtigt sind, Amazon Keyspaces zu verwenden, schlägt der Anruf fehl, auch wenn er vom Amazon Keyspaces-Service stammt.
+ Der ViaService Bedingungsschlüssel [kms:](https://docs.aws.amazon.com/kms/latest/developerguide/policy-conditions.html#conditions-kms-via-service) erlaubt die Berechtigungen nur, wenn die Anfrage von Amazon Keyspaces im Namen der in der Datenschutzerklärung aufgeführten Prinzipale kommt. Diese Prinzipale können diese Operationen nicht direkt aufrufen. Beachten Sie, dass der `kms:ViaService`-Wert, `cassandra.*.amazonaws.com`, in der Region-Position ein Sternchen (\$1) hat. Amazon Keyspaces benötigt die Genehmigung, unabhängig von einer bestimmten AWS-Region Person zu sein.
+ Gewährt den vom Kunden verwalteten Schlüsseladministratoren (Benutzern, die die `db-team` Rolle übernehmen können) schreibgeschützten Zugriff auf den vom Kunden verwalteten Schlüssel und die Berechtigung, Zuschüsse zu widerrufen, einschließlich der [Zuweisungen, die Amazon Keyspaces zum Schutz der Tabelle benötigt](#encryption-grants).
+ Gewährt Amazon Keyspaces schreibgeschützten Zugriff auf den vom Kunden verwalteten Schlüssel. In diesem Fall kann Amazon Keyspaces diese Operationen direkt aufrufen. Es muss nicht im Namen eines Kontoinhabers handeln.
Bevor Sie ein Beispiel für eine Schlüsselrichtlinie verwenden, ersetzen Sie die Beispielprinzipale durch tatsächliche Prinzipale aus Ihrem. AWS-Konto
```
{
"Id": "key-policy-cassandra",
"Version":"2012-10-17",
"Statement": [
{
"Sid" : "Allow access through Amazon Keyspaces for all principals in the account that are authorized to use Amazon Keyspaces",
"Effect": "Allow",
"Principal": {"AWS": "arn:aws:iam::111122223333:user/db-lead"},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey",
"kms:CreateGrant"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService" : "cassandra.*.amazonaws.com"
}
}
},
{
"Sid": "Allow administrators to view the customer managed key and revoke grants",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/db-team"
},
"Action": [
"kms:Describe*",
"kms:Get*",
"kms:List*",
"kms:RevokeGrant"
],
"Resource": "*"
}
]
}
```
#### Verwendung von Zuschüssen zur Autorisierung von Amazon Keyspaces
Zusätzlich zu den wichtigsten Richtlinien verwendet Amazon Keyspaces Zuschüsse, um Berechtigungen für einen vom Kunden verwalteten Schlüssel festzulegen. Um die Erteilungen für den kundenverwalteten Schlüssel in Ihrem Konto anzuzeigen, verwenden Sie die [ListGrants](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListGrants.html)-Operation. Amazon Keyspaces benötigt keine Zuschüsse oder zusätzliche Berechtigungen, um Ihre Tabelle [AWS-eigener Schlüssel](encryption.howitworks.md#keyspaces-owned)zu schützen.
Amazon Keyspaces verwendet die gewährten Berechtigungen, wenn es Systemwartungs- und kontinuierliche Datenschutzaufgaben im Hintergrund ausführt. Außerdem werden Erteilungen verwenden, um Tabellenschlüssel zu generieren.
Jede Erteilung ist tabellenspezifisch. Wenn das Konto mehrere Tabellen enthält, die unter demselben vom Kunden verwalteten Schlüssel verschlüsselt sind, gibt es für jede Tabelle eine Genehmigung jedes Typs. Die Gewährung wird durch den [Amazon Keyspaces-Verschlüsselungskontext](https://docs.aws.amazon.com/kms/latest/developerguide/encryption-context.html) eingeschränkt, der den Tabellennamen und die AWS-Konto ID umfasst. Der Zuschuss beinhaltet die Erlaubnis, [den Zuschuss zurückzuziehen](https://docs.aws.amazon.com/kms/latest/APIReference/API_RetireGrant.html), wenn er nicht mehr benötigt wird.
Um die Grants zu erstellen, muss Amazon Keyspaces über die Berechtigung verfügen, `CreateGrant` im Namen des Benutzers, der die verschlüsselte Tabelle erstellt hat, anzurufen.
Die Schlüsselrichtlinie kann es dem Konto auch erlauben, die [Erteilung für den kundenverwalteten Schlüssel zu widerrufen](https://docs.aws.amazon.com/kms/latest/APIReference/API_RevokeGrant.html). Wenn Sie jedoch den Zuschuss für eine aktive verschlüsselte Tabelle widerrufen, kann Amazon Keyspaces die Tabelle nicht schützen und verwalten.
## Schritt 3: Geben Sie einen vom Kunden verwalteten Schlüssel für eine neue Tabelle an
Gehen Sie wie folgt vor, um den vom Kunden verwalteten Schlüssel in einer neuen Tabelle mithilfe der Amazon Keyspaces-Konsole oder CQL anzugeben.
### Erstellen Sie eine verschlüsselte Tabelle mit einem vom Kunden verwalteten Schlüssel (Konsole)
1. Melden Sie sich bei der AWS-Managementkonsole an und öffnen Sie die Amazon Keyspaces-Konsole zu [https://console.aws.amazon.com/keyspaces/Hause](https://console.aws.amazon.com/keyspaces/home).
1. Wählen Sie im Navigationsbereich **Tables** (Tabellen) und anschließend **Create table** (Tabelle erstellen) aus.
1. Wählen Sie auf der Seite **Tabelle erstellen** im Abschnitt **Tabellendetails** einen Schlüsselraum aus und geben Sie einen Namen für die neue Tabelle ein.
1. Erstellen Sie im Abschnitt **Schema** das Schema für Ihre Tabelle.
1. Wählen Sie im Abschnitt **Tabelleneinstellungen** die Option **Einstellungen anpassen** aus.
1. Fahren Sie mit den **Verschlüsselungseinstellungen** fort.
In diesem Schritt wählen Sie die Verschlüsselungseinstellungen für die Tabelle aus.
Wählen Sie im Abschnitt **Verschlüsselung im Ruhezustand** unter **Wählen Sie eine AWS KMS key** die Option **Wählen Sie einen anderen KMS-Schlüssel (erweitert)** und wählen Sie im Suchfeld einen Amazon-Ressourcennamen (ARN) aus AWS KMS key oder geben Sie einen ein.
**Anmerkung**
Wenn auf den ausgewählten Schlüssel nicht zugegriffen werden kann oder die erforderlichen Berechtigungen fehlen, finden Sie weitere Informationen unter [Problembehandlung beim Schlüsselzugriff](https://docs.aws.amazon.com/kms/latest/developerguide/policy-evaluation.html) im AWS Key Management Service Entwicklerhandbuch.
1. Wählen Sie **Create** (Erstellen) , um die verschlüsselte Tabelle zu erstellen.
### Erstellen Sie eine neue Tabelle mit einem vom Kunden verwalteten Schlüssel für Verschlüsselung im Ruhezustand (CQL)
Um eine neue Tabelle zu erstellen, die einen vom Kunden verwalteten Schlüssel für die Verschlüsselung im Ruhezustand verwendet, können Sie die `CREATE TABLE` Anweisung verwenden, wie im folgenden Beispiel gezeigt. Stellen Sie sicher, dass Sie den Schlüssel ARN durch einen ARN für einen gültigen Schlüssel mit Amazon Keyspaces erteilten Berechtigungen ersetzen.
```
CREATE TABLE my_keyspace.my_table(id bigint, name text, place text STATIC, PRIMARY KEY(id, name)) WITH CUSTOM_PROPERTIES = {
'encryption_specification':{
'encryption_type': 'CUSTOMER_MANAGED_KMS_KEY',
'kms_key_identifier':'arn:aws:kms:eu-west-1:5555555555555:key/11111111-1111-111-1111-111111111111'
}
};
```
Wenn Sie einen erhalten`Invalid Request Exception`, müssen Sie bestätigen, dass der vom Kunden verwaltete Schlüssel gültig ist und Amazon Keyspaces über die erforderlichen Berechtigungen verfügt. Informationen zur Bestätigung, dass der Schlüssel korrekt konfiguriert wurde, finden Sie unter [Fehlerbehebung beim Schlüsselzugriff](https://docs.aws.amazon.com/kms/latest/developerguide/policy-evaluation.html) im AWS Key Management Service Entwicklerhandbuch.
## Schritt 4: Aktualisieren Sie den Verschlüsselungsschlüssel einer vorhandenen Tabelle
Sie können auch die Amazon Keyspaces-Konsole oder CQL verwenden, um die Verschlüsselungsschlüssel einer vorhandenen Tabelle jederzeit zwischen einem AWS-eigener Schlüssel und einem vom Kunden verwalteten KMS-Schlüssel zu ändern.
### Aktualisieren Sie eine bestehende Tabelle mit dem neuen vom Kunden verwalteten Schlüssel (Konsole)
1. Melden Sie sich bei der AWS-Managementkonsole an und öffnen Sie die Amazon Keyspaces-Konsole zu [https://console.aws.amazon.com/keyspaces/Hause](https://console.aws.amazon.com/keyspaces/home).
1. Wählen Sie im Navigationsbereich **Tables** (Tabellen) aus.
1. Wählen Sie die Tabelle aus, die Sie aktualisieren möchten, und wählen Sie dann den Tab **Zusätzliche Einstellungen**.
1. Wählen Sie im Abschnitt **Verschlüsselung im Ruhezustand** die Option **Verschlüsselung verwalten** aus, um die Verschlüsselungseinstellungen für die Tabelle zu bearbeiten.
**Wählen Sie** unter Wählen Sie die Option **Anderen KMS-Schlüssel auswählen (erweitert)** und wählen Sie im Suchfeld einen Amazon-Ressourcennamen (ARN) aus AWS KMS key oder geben Sie einen ein. AWS KMS key
**Anmerkung**
Wenn der von Ihnen gewählte Schlüssel nicht gültig ist, finden Sie weitere Informationen unter [Fehlerbehebung beim Schlüsselzugriff](https://docs.aws.amazon.com/kms/latest/developerguide/policy-evaluation.html) im AWS Key Management Service Entwicklerhandbuch.
Alternativ können Sie eine AWS-eigener Schlüssel für eine Tabelle wählen, die mit einem vom Kunden verwalteten Schlüssel verschlüsselt ist.
1. Wählen Sie **Änderungen speichern**, um Ihre Änderungen an der Tabelle zu speichern.
### Aktualisieren Sie den Verschlüsselungsschlüssel, der für eine bestehende Tabelle verwendet wurde
Um den Verschlüsselungsschlüssel einer vorhandenen Tabelle zu ändern, verwenden Sie die `ALTER TABLE` Anweisung, um einen vom Kunden verwalteten Schlüssel für die Verschlüsselung im Ruhezustand anzugeben. Stellen Sie sicher, dass Sie den Schlüssel ARN durch einen ARN für einen gültigen Schlüssel mit Amazon Keyspaces erteilten Berechtigungen ersetzen.
```
ALTER TABLE my_keyspace.my_table WITH CUSTOM_PROPERTIES = {
'encryption_specification':{
'encryption_type': 'CUSTOMER_MANAGED_KMS_KEY',
'kms_key_identifier':'arn:aws:kms:eu-west-1:5555555555555:key/11111111-1111-111-1111-111111111111'
}
};
```
Wenn Sie einen erhalten`Invalid Request Exception`, müssen Sie bestätigen, dass der vom Kunden verwaltete Schlüssel gültig ist und Amazon Keyspaces über die erforderlichen Berechtigungen verfügt. Informationen zur Bestätigung, dass der Schlüssel korrekt konfiguriert wurde, finden Sie unter [Fehlerbehebung beim Schlüsselzugriff](https://docs.aws.amazon.com/kms/latest/developerguide/policy-evaluation.html) im AWS Key Management Service Entwicklerhandbuch.
Um den Verschlüsselungsschlüssel wieder auf die Standardoption Verschlüsselung im Ruhezustand zurückzusetzen AWS-eigene Schlüssel, können Sie die `ALTER TABLE` Anweisung verwenden, wie im folgenden Beispiel gezeigt.
```
ALTER TABLE my_keyspace.my_table WITH CUSTOM_PROPERTIES = {
'encryption_specification':{
'encryption_type' : 'AWS_OWNED_KMS_KEY'
}
};
```
## Schritt 5: Verwenden Sie den Amazon Keyspaces-Verschlüsselungskontext in Protokollen
Ein [Verschlüsselungskontext](https://docs.aws.amazon.com/kms/latest/developerguide/encrypt_context.html) ist eine Gruppe von Schlüssel/Wert-Paaren mit willkürlichen, nicht geheimen Daten. Wenn Sie einen Verschlüsselungskontext in eine Anfrage zur Verschlüsselung von Daten einbeziehen, wird der Verschlüsselungskontext AWS KMS kryptografisch an die verschlüsselten Daten gebunden. Zur Entschlüsselung der Daten müssen Sie denselben Verschlüsselungskontext übergeben.
Amazon Keyspaces verwendet bei allen AWS KMS kryptografischen Vorgängen denselben Verschlüsselungskontext. Wenn Sie einen vom [Kunden verwalteten Schlüssel](encryption.howitworks.md#customer-managed) verwenden, um Ihre Amazon Keyspaces-Tabelle zu schützen, können Sie den Verschlüsselungskontext verwenden, um die Verwendung des vom Kunden verwalteten Schlüssels in Prüfaufzeichnungen und Protokollen zu identifizieren. Es erscheint auch im Klartext in Protokollen, z. B. in Protokollen für [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)und [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html).
In seinen Anfragen verwendet Amazon Keyspaces einen Verschlüsselungskontext mit drei Schlüssel-Wert-Paaren. AWS KMS
```
"encryptionContextSubset": {
"aws:cassandra:keyspaceName": "my_keyspace",
"aws:cassandra:tableName": "mytable"
"aws:cassandra:subscriberId": "111122223333"
}
```
+ **Keyspace** — Das erste Schlüssel-Wert-Paar identifiziert den Schlüsselraum, der die Tabelle enthält, die Amazon Keyspaces verschlüsselt. Der Schlüssel lautet `aws:cassandra:keyspaceName`. Der Wert ist der Name des Schlüsselraums.
```
"aws:cassandra:keyspaceName": ""
```
Beispiel:
```
"aws:cassandra:keyspaceName": "my_keyspace"
```
+ **Tabelle** — Das zweite Schlüssel-Wert-Paar identifiziert die Tabelle, die Amazon Keyspaces verschlüsselt. Der Schlüssel lautet `aws:cassandra:tableName`. Der Wert ist der Name der Tabelle.
```
"aws:cassandra:tableName": ""
```
Beispiel:
```
"aws:cassandra:tableName": "my_table"
```
+ **Konto** — Das dritte Schlüssel-Wert-Paar identifiziert die. AWS-Konto Der Schlüssel lautet `aws:cassandra:subscriberId`. Der Wert ist die Konto-ID.
```
"aws:cassandra:subscriberId": ""
```
Beispiel:
```
"aws:cassandra:subscriberId": "111122223333"
```
## Schritt 6: Konfigurieren Sie die Überwachung mit AWS CloudTrail
Wenn Sie einen vom [Kunden verwalteten Schlüssel](encryption.howitworks.md#customer-managed) verwenden, um Ihre Amazon Keyspaces-Tabellen zu schützen, können Sie AWS CloudTrail Protokolle verwenden, um die Anfragen zu verfolgen, an die Amazon Keyspaces in AWS KMS Ihrem Namen sendet.
Die `CreateGrant` Anfragen `GenerateDataKey``DescribeKey`,`Decrypt`, und werden in diesem Abschnitt behandelt. Darüber hinaus verwendet Amazon Keyspaces eine [RetireGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_RetireGrant.html)Operation, um einen Zuschuss zu entfernen, wenn Sie eine Tabelle löschen.
**Anmerkung**
Wenn Sie mit Amazon Keyspaces arbeiten, können bei einigen Vorgängen CloudTrail Ereignisse mit dem `invokedBy` Feld von `dynamodb.amazonaws.com` generiert werden. Dies ist zu erwarten und tritt auf, weil Amazon Keyspaces in Amazon DynamoDB integriert ist, um seinen Service bereitzustellen.
**GenerateDataKey**
Amazon Keyspaces erstellt einen eindeutigen Tabellenschlüssel, um Daten im Ruhezustand zu verschlüsseln. Es sendet eine *[GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)*Anfrage an AWS KMS , die den KMS-Schlüssel für die Tabelle spezifiziert.
Das Ereignis, das die `GenerateDataKey`-Operation aufzeichnet, ähnelt dem folgenden Beispielereignis. Der Benutzer ist das Amazon Keyspaces-Servicekonto. Zu den Parametern gehören der Amazon-Ressourcenname (ARN) des vom Kunden verwalteten Schlüssels, ein Schlüsselspezifizierer, für den ein 256-Bit-Schlüssel erforderlich ist, und der [Verschlüsselungskontext](#encryption-context), der den Schlüsselraum, die Tabelle und den identifiziert. AWS-Konto
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "AWS Internal"
},
"eventTime": "2021-04-16T04:56:05Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKey",
"awsRegion": "us-east-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": {
"keySpec": "AES_256",
"encryptionContext": {
"aws:cassandra:keyspaceName": "my_keyspace",
"aws:cassandra:tableName": "my_table",
"aws:cassandra:subscriberId": "123SAMPLE012"
},
"keyId": "arn:aws:kms:eu-west-1:5555555555555:key/11111111-1111-111-1111-111111111111"
},
"responseElements": null,
"requestID": "5e8e9cb5-9194-4334-aacc-9dd7d50fe246",
"eventID": "49fccab9-2448-4b97-a89d-7d5c39318d6f",
"readOnly": true,
"resources": [
{
"accountId": "123SAMPLE012",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:eu-west-1:5555555555555:key/11111111-1111-111-1111-111111111111"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "123SAMPLE012",
"sharedEventID": "84fbaaf0-9641-4e32-9147-57d2cb08792e"
}
```
**DescribeKey**
Amazon Keyspaces verwendet einen [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)Vorgang, um festzustellen, ob der von Ihnen ausgewählte KMS-Schlüssel im Konto und in der Region vorhanden ist.
Das Ereignis, das die `DescribeKey`-Operation aufzeichnet, ähnelt dem folgenden Beispielereignis. Der Benutzer ist das Amazon Keyspaces-Servicekonto. Zu den Parametern gehören der ARN des vom Kunden verwalteten Schlüssels und ein Schlüsselspezifizierer, für den ein 256-Bit-Schlüssel erforderlich ist.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "AIDAZ3FNIIVIZZ6H7CFQG",
"arn": "arn:aws:iam::123SAMPLE012:user/admin",
"accountId": "123SAMPLE012",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"userName": "admin",
"sessionContext": {
"sessionIssuer": {},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2021-04-16T04:55:42Z"
}
},
"invokedBy": "AWS Internal"
},
"eventTime": "2021-04-16T04:55:58Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DescribeKey",
"awsRegion": "us-east-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "arn:aws:kms:eu-west-1:5555555555555:key/11111111-1111-111-1111-111111111111"
},
"responseElements": null,
"requestID": "c25a8105-050b-4f52-8358-6e872fb03a6c",
"eventID": "0d96420e-707e-41b9-9118-56585a669658",
"readOnly": true,
"resources": [
{
"accountId": "123SAMPLE012",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:eu-west-1:5555555555555:key/11111111-1111-111-1111-111111111111"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "123SAMPLE012"
}
```
**Decrypt**
Wenn Sie auf eine Amazon Keyspaces-Tabelle zugreifen, muss Amazon Keyspaces den Tabellenschlüssel entschlüsseln, damit es die Schlüssel entschlüsseln kann, die sich in der Hierarchie darunter befinden. Anschließend werden die Daten in der Tabelle entschlüsselt. Um den Tabellenschlüssel zu entschlüsseln, sendet Amazon Keyspaces eine [Decrypt-Anfrage](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) an AWS KMS , die den KMS-Schlüssel für die Tabelle angibt.
Das Ereignis, das die `Decrypt`-Operation aufzeichnet, ähnelt dem folgenden Beispielereignis. Der Benutzer ist Ihr Hauptbenutzer, der auf AWS-Konto die Tabelle zugreift. Zu den Parametern gehören der verschlüsselte Tabellenschlüssel (als Chiffretext-Blob) und der [Verschlüsselungskontext](#encryption-context), der die Tabelle und den identifiziert. AWS-Konto AWS KMS leitet die ID des vom Kunden verwalteten Schlüssels aus dem Chiffretext ab.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "AWS Internal"
},
"eventTime": "2021-04-16T05:29:44Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-east-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": {
"encryptionContext": {
"aws:cassandra:keyspaceName": "my_keyspace",
"aws:cassandra:tableName": "my_table",
"aws:cassandra:subscriberId": "123SAMPLE012"
},
"encryptionAlgorithm": "SYMMETRIC_DEFAULT"
},
"responseElements": null,
"requestID": "50e80373-83c9-4034-8226-5439e1c9b259",
"eventID": "8db9788f-04a5-4ae2-90c9-15c79c411b6b",
"readOnly": true,
"resources": [
{
"accountId": "123SAMPLE012",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:eu-west-1:5555555555555:key/11111111-1111-111-1111-111111111111"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "123SAMPLE012",
"sharedEventID": "7ed99e2d-910a-4708-a4e3-0180d8dbb68e"
}
```
**CreateGrant**
Wenn Sie einen vom [Kunden verwalteten Schlüssel](encryption.howitworks.md#customer-managed) verwenden, um Ihre Amazon Keyspaces-Tabelle zu schützen, verwendet Amazon Keyspaces [Zuschüsse](#encryption-grants), damit der Service kontinuierliche Datenschutz-, Wartungs- und Haltbarkeitsaufgaben durchführen kann. Diese Zuschüsse sind am nicht erforderlich. [AWS-eigene Schlüssel](encryption.howitworks.md#keyspaces-owned)
Die Zuschüsse, die Amazon Keyspaces erstellt, sind tabellenspezifisch. Der Principal in der [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)Anfrage ist der Benutzer, der die Tabelle erstellt hat.
Das Ereignis, das die `CreateGrant`-Operation aufzeichnet, ähnelt dem folgenden Beispielereignis. Zu den Parametern gehören der ARN des vom Kunden verwalteten Schlüssels für die Tabelle, der Principal des Empfängers und der ausscheidende Principal (der Amazon Keyspaces-Service) sowie die Vorgänge, die durch den Zuschuss abgedeckt werden. [Es enthält auch eine Einschränkung, nach der alle Verschlüsselungsvorgänge den angegebenen Verschlüsselungskontext verwenden müssen.](#encryption-context)
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "AIDAZ3FNIIVIZZ6H7CFQG",
"arn": "arn:aws:iam::arn:aws:kms:eu-west-1:5555555555555:key/11111111-1111-111-1111-111111111111:user/admin",
"accountId": "arn:aws:kms:eu-west-1:5555555555555:key/11111111-1111-111-1111-111111111111",
"accessKeyId": "AKIAI44QH8DHBEXAMPLE",
"userName": "admin",
"sessionContext": {
"sessionIssuer": {},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2021-04-16T04:55:42Z"
}
},
"invokedBy": "AWS Internal"
},
"eventTime": "2021-04-16T05:11:10Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-east-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "a7d328af-215e-4661-9a69-88c858909f20",
"operations": [
"DescribeKey",
"GenerateDataKey",
"Decrypt",
"Encrypt",
"ReEncryptFrom",
"ReEncryptTo",
"RetireGrant"
],
"constraints": {
"encryptionContextSubset": {
"aws:cassandra:keyspaceName": "my_keyspace",
"aws:cassandra:tableName": "my_table",
"aws:cassandra:subscriberId": "123SAMPLE012"
}
},
"retiringPrincipal": "cassandratest.us-east-1.amazonaws.com",
"granteePrincipal": "cassandratest.us-east-1.amazonaws.com"
},
"responseElements": {
"grantId": "18e4235f1b07f289762a31a1886cb5efd225f069280d4f76cd83b9b9b5501013"
},
"requestID": "b379a767-1f9b-48c3-b731-fb23e865e7f7",
"eventID": "29ee1fd4-28f2-416f-a419-551910d20291",
"readOnly": false,
"resources": [
{
"accountId": "123SAMPLE012",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:eu-west-1:5555555555555:key/11111111-1111-111-1111-111111111111"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "123SAMPLE012"
}
```